Da qualche anno emergono indicazioni circa la carenza generalizzata nel settore ICT di un largo numero di professionalità e competenze, indispensabili per azioni prioritarie per la Pubblica Amministrazione, quali l’innovazione tecnologica, la digitalizzazione dei servizi a cittadini e imprese, la digitalizzazione dei flussi e dei processi interni.
Questo fenomeno impatta la quasi totalità delle professionalità di sicurezza informatica, un fatto che nell’ambito della PA crea particolari criticità, essendo la sicurezza informatica uno dei principali fattori abilitanti dei modelli di relazione digitale tra gli Enti, i cittadini e le imprese. Tale criticità è amplificata dalle dinamiche di crescita degli attacchi subiti, considerando sia il numero di attacchi totali su base annuale, sia l’incremento della sofisticazione tecnica ed organizzativa di una parte di essi. A differenza di tutte le altre professionalità presenti nel settore ICT, la cui crescita è spinta dall’evoluzione tecnologica, quelle di cyber security sono strettamente correlate alle tendenze di evoluzione degli attaccanti, con la conseguente necessità di adeguare le capacità di prevenzione e mitigazione degli attacchi tramite il continuo ri-assortimento delle competenze tecniche di difesa e la capacità organizzativa di risposta con ritmi molto veloci, pari a quelli con cui si muovono gli attaccanti.
Un segnale di come sia delicata la situazione della sicurezza delle strutture informatiche pubbliche è sottolineata anche da fonte istituzionale, come riportato nella “Relazione sulla politica dell’informazione per la sicurezza” riferita all’analisi dei dati relativi all’anno 2016 (vedi anche i problemi della formazione alla cybersecurity). Secondo la relazione, le minacce sono in costante crescita, per numerosità degli attacchi effettuati ed eterogeneità e sofisticazione delle tecniche utilizzate che hanno consentito di compiere tentativi di attacchi anche contro organizzazioni, molto rappresentative nel loro contesto di riferimento, che detengono alte capacità tecniche/organizzative di difesa.
Le metodologie di formazione
Per affrontare l’attuale situazione in maniera veramente efficiente è necessario un intervento su larga scala, volto sia alla creazione di nuove professionalità pronte per essere impiegate, sia all’aggiornamento continuativo delle risorse già impiegate. Intervento che dovrà porsi l’obiettivo di definire e gestire molteplici percorsi di formazione e di addestramento e dovrà essere strutturato su dimensione nazionale, supportato da metodologie e strumenti adatti a velocizzare il miglioramento dell’attuale contesto.
Questa azione di miglioramento potrà determinare una considerevole differenza sul percorso di evoluzione della sicurezza nella PA nei prossimi anni. Innanzi tutto deve focalizzarsi su un’analisi approfondita della problematica e sulle metodologie e tecnologie di soluzione più appropriate.
In termini generali, le metodologie di formazione a cui più spesso ci si riferisce a fronte del contesto attuale sono quelle di tipo esperienziale e basate sulle relazioni tra i membri delle comunità professionali, che permettono di definire percorsi di apprendimento basati sull’esperienza e consentono un rapido accrescimento di competenza e di efficacia, superiori a quelli raggiungibili tramite metodologie tradizionali. Queste metodologie consentono anche di gestire più agevolmente necessità di formazione molto differenziate, di aggiornamento tecnologico ed operativo, come di maturazione e verifica di capacità di livello strategico.
È così possibile ottenere un miglioramento continuo delle competenze più mature ed un inserimento veloce ed efficace delle nuove professionalità nell’operatività lavorativa, a tutti livelli di formazione scolastica. In particolare, le metodologie di apprendimento sociale, ispirate dal modello delle reti sociali, possono consentire lo sviluppo di percorsi di didattica partecipativa, particolarmente adatti per l’erogazione di addestramento a distanza per brevi periodi di tempo verso utenti di alta specializzazione. Il risultato formativo verso specialisti già occupati sarà così ottimizzato, consentendo l’acquisizione e l’aggiornamento delle competenze tramite una comunicazione continuativa tra allievi e personale didattico e, soprattutto, tra gli allievi; modalità che promuove un continuo confronto, spesso guidato dal personale didattico che, oltre a rendere viva l’esperienza acquisita, forma a una più naturale propensione al lavoro di gruppo ed alle pratiche di collaborazione, fattori di grande rilievo nella gestione degli attacchi su larga scala.
La formazione esperienziale, basata sulla reale applicazione delle conoscenze teoriche, prevede la realizzazione di esperienza operativa in ambienti di prova che riproducono scenari coerenti con il livello raggiunto, il cui grado di complessità e difficoltà può essere modulabile a seconda delle necessità formative dell’allievo.
L’applicazione di tali metodologie richiede la disponibilità di strutture tecnologiche capaci di generare rapidamente ambienti di prova, con caratteristiche verosimili rispetto agli scenari reali, a supporto delle attività di acquisizione di esperienze tramite la riproduzione di tutti gli aspetti sostanziali che l’allievo dovrà affrontare nell’effettiva attività operativa.
Al momento si è raggiunto un buon livello di maturità tecnologico nel campo delle soluzioni di supporto all’addestramento operativo cyber (note come cyber-range), soprattutto per quanto riguarda le caratteristiche di flessibilità ed automazione nel rendere disponibili gli scenari; tematiche in cui Leonardo ha approntato una soluzione, in continuo aggiornamento, attraverso attività di investimento interno e la partecipazione a progetti di ricerca finanziata.
Le esigenze per nuove professionaltà
Dall’attuale contesto, riferito sia alla necessità di erogare addestramento su una larga scala, sia alle necessità di intervento verso le alte professionalità, emergono una serie di nuove esigenze, a cui Leonardo sta rispondendo tramite attività di innovazione e sviluppo.
Innanzi tutto vi è la necessità di specializzare le capacità descritte verso i percorsi di addestramento indirizzati al rafforzamento di competenze non tecnologiche (come le capacità governo della sicurezza e le competenze di indirizzo strategico) che oggi rappresentano una delle aree di maggiore criticità. È necessario incrementare la flessibilità delle metodologie e degli strumenti di supporto, allo scopo di consentire la modellazione di scenari di questo tipo di addestramento in domini molto diversi (come le grandi reti della PA, ma anche le infrastrutture critiche e le tecnologie utilizzate nelle reti di telecomunicazione); nel contempo, è necessario offrire una progressività più granulare nelle librerie di scenari, per modulare opportunamente gli incrementi di difficolta nei percorsi di addestramento.
Nella formazione di alta specializzazione è anche necessario investigare sulle modalità per migliorare la modellazione degli scenari, e fornire una totale visibilità delle attività svolte durante l’addestramento, quando si rende necessario integrare negli scenari tecnologie non virtualizzabili (come nel caso di replicazione di sistemi logico-fisico tipici delle applicazioni IoT, dei sistemi di controllo e di automazione industriale)
Occorre migliorare gli approcci e le metriche utilizzate nell’addestramento e la valutazione delle competenze degli allievi, soprattutto per quanto riguarda l’addestramento di squadre di specialisti, al fine di individuare con esattezza il livello di preparazione di ciascun membro della squadra, durante lo svolgersi di esercitazioni congiunte. Questo tipo di avanzamento consentirebbe di supportare l’individuazione di percorsi di addestramento per aumentare la capacità complessiva della squadra e l’esperienza di gruppo nella gestione delle emergenze. Inoltre, occorre studiare tecniche di federazione delle strutture di addestramento, al fine di poter generare scenari di attacchi su larga scala; gli scenari riproducibili con questa modalità permetterebbero di sperimentare più efficacemente le competenze di livello strategico e le capacità di collaborazione tra differenti organizzazioni di sicurezza.
Per poter contrastare l’attuale carenza di professionalità, occorre incrementare l’efficienza e la sostenibilità degli strumenti disponibili al fine di poter gestire la formazione di un elevato numero di nuove risorse che saranno necessarie nei prossimi anni.
Ad esempio, per raggiungere la più ampia popolazione di soggetti interessati, come ad esempio gli studenti degli istituti tecnici, sarà necessario sviluppare strumenti di auto-addestramento erogabili tramite tecnologie cloud. Modalità di auto-addestramento che richiederanno anche funzionalità automatizzate di assistenza alla formazione, basate su tecniche cognitive, che consentiranno la riduzione dei costi di formazione limitando il costante intervento di istruttori e di altro personale didattico.
Formazione alla cybersecurity, il grande problema: che deve fare l’Italia
